Где хранится ключ SSH в OS X после удаления самого файла ключа?
Добрый день! Сгенерировал ключ c паролем через терминал. Получил 2 файла в папке ~/.ssh: id_rsa и id_rsa_pub. После этого подключился к серверу (через терминал) с помощью данного ключа и пароля к нему. В папке ~/.ssh появился еще один файл known_hosts Вопрос: после того, как я удаляю из папки все файлы доступ к серверу через терминал все равно сохраняется. Смотрел в связке ключей, там ничего не сохранено. Где же тогда хранится ключ? Допустим, я хочу убрать доступ у этого компьютера. Повторю удаление самих файлов ключей из папки ~/.ssh не помогает. Доступ все равно сохраняется и уже никакие ключи не требуются. Спасибо
Отслеживать
задан 18 апр 2018 в 9:03
artoritorian artoritorian
3 2 2 бронзовых знака
1 ответ 1
Сортировка: Сброс на вариант по умолчанию
процессу, запущенному программой ssh, секретная часть ключа (обычно хранится в файле с именем ~/.ssh/id_rsa ) требуется лишь при установке соединения — для аутентификации и для генерации сеансового ключа, которым в дальнейшем и шифруется трафик.
после установки соединения секретная часть ключа уже не требуется. она не сохраняется даже в памяти процесса ssh.
а сеансовый ключ хранится лишь в памяти процесса: он теряет смысл по окончании сессии (которая, естественно, заканчивается при завершении работы процесса ssh).
ах, да, процесс ssh-agent хранит секретные ключи непосредственно в своей памяти. раз вы про не упоминаете про эту программу, значит добавление ключей производится процессом ssh автоматически, благодаря наличию опции addkeystoagent=yes (см. man ssh_config ) либо в одном из конфигурационных файлов, учитываемых процессом ssh, либо, как умолчание, благодаря услужливости того, кто компилировал для вас программу ssh.
посмотреть список ключей, хранимых в данный момент в памяти процессом ssh-agent для вашей учётной записи, можно, передав программе опцию -l :
$ ssh-add -l Как удалить SSH-ключи одного хоста из known_hosts
В процессе работы необходимо подключаться к большому множеству систем по протоколу SSH. Ваша машина является клиентом и записывает полученные ключи от удалённых машин в файл known_hosts. Эти ключи необходимы для того что бы быть уверенным при последующем подключении что это та же система. Это важно, поскольку удалённый хост могут подменить, а при подключении Вы любезно предоставите свой логин и пароль злоумышленникам.
В вот в случае если удалённый сервер был «официально» заменён на другой, но выполняет ту же роль. Например переустановили операционную систему. В таком случае встаёт проблема: файл known_hosts на Вашей машине содержит ключи от пары сотен машин, в том числе старый ключ от хоста куда Вы хотите подключиться, и Вы каждый раз получаете алерт. В такой ситуации необходимо удалить весь файл known_hosts или же в ручную найти устаревший ключ. В условиях сотен ключей процедура довольно трудоёмкая.
Но существует скрипт, который поможет выйти из этой ситуации. Скрипт выполнит поиск в known_hosts старый ключ хоста и удалит запись о нём и его IP-адресах, сохранив при том остальные записи.
#!/bin/bash
host=»$1″
[[ $# -eq 0 ]] && < echo "Использование: $0 имя.хоста"; exit 1;>
ips=$(host «$host» | awk -F’address’ ‘< print $2>‘ | sed -e ‘s/^ //g’)
ssh-keygen -R «$host»
for i in $ips
do
ssh-keygen -R «$i»
done
Создаём в текстовом редакторе новый документ, вставляем код, сохраняем с именем «name.sh». Сохраняем, даём права на выполнение. Запускаем с параметром: «name.sh имя_хоста_для_удаления».
Заказать услугу
Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.
Где хранится ключ SSH в OS X после удаления самого файла ключа?
Сгенерировал в OS X ключ c паролем через терминал. Получил 2 файла в папке ~/.ssh: id_rsa и id_rsa_pub.
После этого подключился к серверу (через терминал) с помощью данного ключа и пароля к нему. В папке ~/.ssh появился еще один файл known_hosts
Вопрос: после того, как я удаляю из папки все файлы доступ к серверу через терминал все равно сохраняется. Смотрел в связке ключей, там ничего не сохранено. Где же тогда хранится ключ? Допустим, я хочу убрать доступ у этого компьютера. Повторю удаление самих файлов ключей из папки ~/.ssh не помогает. Доступ все равно сохраняется и уже никакие ключи не требуются.
maashina
18.04.18 11:55:59 MSK
А ты уверен, что пароль вводишь от ключа, а не от пользователя на той стороне?
SR_team ★★★★★
( 18.04.18 12:25:44 MSK )
Для устраниния доступа надо на удалённой стороне убрать публичный ключ из ~/.ssh/authorized_keys
Туда же он и добаляется для разрешения доступа. Т.ч. что-то ты не то делаешь.
beastie ★★★★★
( 18.04.18 12:31:40 MSK )
Получил ответ на другом форуме. Может кому-то полезно будет:
процессу, запущенному программой ssh, секретная часть ключа (обычно хранится в файле с именем ~/.ssh/id_rsa) требуется лишь при установке соединения — для аутентификации и для генерации сеансового ключа, которым в дальнейшем и шифруется трафик.
после установки соединения секретная часть ключа уже не требуется. она не сохраняется даже в памяти процесса ssh.
а сеансовый ключ хранится лишь в памяти процесса: он теряет смысл по окончании сессии (которая, естественно, заканчивается при завершении работы процесса ssh).
ах, да, процесс ssh-agent хранит секретные ключи непосредственно в своей памяти. раз вы не упоминаете про эту программу, значит добавление ключей производится процессом ssh автоматически, благодаря наличию опции addkeystoagent=yes (см. man ssh-config) либо в одном из конфигурационных файлов, учитываемых процессом ssh, либо, как умолчание, благодаря услужливости того, кто компилировал для вас программу ssh.
посмотреть список ключей, хранимых в данный момент в памяти процессом ssh-agent для вашей учётной записи, можно, передав программе опцию -l:
Создание нового ключа SSH и его добавление в ssh-agent
После проверки наличия существующих ключей SSH можно создать ключ SSH для проверки подлинности, а затем добавить его к агенту SSH.
Platform navigation
About SSH key passphrases
You can access and write data in repositories on GitHub.com using SSH (Secure Shell Protocol). When you connect via SSH, you authenticate using a private key file on your local machine. For more information, see «About SSH.»
When you generate an SSH key, you can add a passphrase to further secure the key. Whenever you use the key, you must enter the passphrase. If your key has a passphrase and you don’t want to enter the passphrase every time you use the key, you can add your key to the SSH agent. The SSH agent manages your SSH keys and remembers your passphrase.
If you don’t already have an SSH key, you must generate a new SSH key to use for authentication. If you’re unsure whether you already have an SSH key, you can check for existing keys. For more information, see «Checking for existing SSH keys.»
If you want to use a hardware security key to authenticate to GitHub Enterprise Cloud, you must generate a new SSH key for your hardware security key. You must connect your hardware security key to your computer when you authenticate with the key pair. For more information, see the OpenSSH 8.2 release notes.
Generating a new SSH key
You can generate a new SSH key on your local machine. After you generate the key, you can add the public key to your account on GitHub.com to enable authentication for Git operations over SSH.
Note: GitHub improved security by dropping older, insecure key types on March 15, 2022.
As of that date, DSA keys ( ssh-dss ) are no longer supported. You cannot add new DSA keys to your personal account on GitHub.com.
RSA keys ( ssh-rsa ) with a valid_after before November 2, 2021 may continue to use any signature algorithm. RSA keys generated after that date must use a SHA-2 signature algorithm. Some older clients may need to be upgraded in order to use SHA-2 signatures.
- Open Terminal Terminal Git Bash .
- Paste the text below, replacing the email used in the example with your GitHub Enterprise Cloud email address.
ssh-keygen -t ed25519 -C "your_email@example.com" Note: If you are using a legacy system that doesn’t support the Ed25519 algorithm, use:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
This creates a new SSH key, using the provided email as a label.
> Generating public/private ALGORITHM key pair. When you’re prompted to «Enter a file in which to save the key», you can press Enter to accept the default file location. Please note that if you created SSH keys previously, ssh-keygen may ask you to rewrite another key, in which case we recommend creating a custom-named SSH key. To do so, type the default file location and replace id_ALGORITHM with your custom key name.
> Enter a file in which to save the key (/Users/YOU/.ssh/id_ALGORITHM): [Press enter] > Enter a file in which to save the key (c:\Users\YOU\.ssh\id_ALGORITHM):[Press enter] > Enter a file in which to save the key (/home/YOU/.ssh/id_ALGORITHM):[Press enter] > Enter passphrase (empty for no passphrase): [Type a passphrase] > Enter same passphrase again: [Type passphrase again] Adding your SSH key to the ssh-agent
Before adding a new SSH key to the ssh-agent to manage your keys, you should have checked for existing SSH keys and generated a new SSH key. When adding your SSH key to the agent, use the default macOS ssh-add command, and not an application installed by macports, homebrew, or some other external source.
- Start the ssh-agent in the background.
$ eval "$(ssh-agent -s)" > Agent pid 59566 -
First, check to see if your ~/.ssh/config file exists in the default location.
$ open ~/.ssh/config > The file /Users/YOU/.ssh/config does not exist. touch ~/.ssh/config Host github.com AddKeysToAgent yes UseKeychain yes IdentityFile ~/.ssh/id_ed25519 - If you chose not to add a passphrase to your key, you should omit the UseKeychain line.
- If you see a Bad configuration option: usekeychain error, add an additional line to the configuration’s’ Host *.github.com section.
Host github.com IgnoreUnknown UseKeychain ssh-add --apple-use-keychain ~/.ssh/id_ed25519 Note: The —apple-use-keychain option stores the passphrase in your keychain for you when you add an SSH key to the ssh-agent. If you chose not to add a passphrase to your key, run the command without the —apple-use-keychain option. The —apple-use-keychain option is in Apple’s standard version of ssh-add . In macOS versions prior to Monterey (12.0), the —apple-use-keychain and —apple-load-keychain flags used the syntax -K and -A , respectively. If you don’t have Apple’s standard version of ssh-add installed, you may receive an error. For more information, see «Error: ssh-add: illegal option — apple-use-keychain.» If you continue to be prompted for your passphrase, you may need to add the command to your ~/.zshrc file (or your ~/.bashrc file for bash).
If you have GitHub Desktop installed, you can use it to clone repositories and not deal with SSH keys.
-
In a new admin elevated PowerShell window, ensure the ssh-agent is running. You can use the «Auto-launching the ssh-agent» instructions in «Working with SSH key passphrases», or start it manually:
# start the ssh-agent in the background Get-Service -Name ssh-agent | Set-Service -StartupType Manual Start-Service ssh-agent ssh-add c:\Users\YOU\.ssh\id_ed25519 - Start the ssh-agent in the background.
$ eval "$(ssh-agent -s)" > Agent pid 59566 ssh-add ~/.ssh/id_ed25519 Generating a new SSH key for a hardware security key
If you are using macOS or Linux, you may need to update your SSH client or install a new SSH client prior to generating a new SSH key. For more information, see «Error: Unknown key type.»
- Insert your hardware security key into your computer.
- Open Terminal Terminal Git Bash .
- Paste the text below, replacing the email address in the example with the email address associated with your account on GitHub Enterprise Cloud.
ssh-keygen -t ed25519-sk -C "your_email@example.com" ssh-keygen -t ed25519-sk -C "your_email@example.com" ssh-keygen -t ed25519-sk -C "your_email@example.com" Note: If the command fails and you receive the error invalid format or feature not supported, you may be using a hardware security key that does not support the Ed25519 algorithm. Enter the following command instead.
ssh-keygen -t ecdsa-sk -C "your_email@example.com"
> Enter a file in which to save the key (/Users/YOU/.ssh/id_ed25519_sk): [Press enter] > Enter a file in which to save the key (c:\Users\YOU\.ssh\id_ed25519_sk):[Press enter] > Enter a file in which to save the key (/home/YOU/.ssh/id_ed25519_sk):[Press enter] > Enter passphrase (empty for no passphrase): [Type a passphrase] > Enter same passphrase again: [Type passphrase again]